Come configurare il registro di controllo di Office 365

Microsoft Office 365 è un ecosistema robusto e diversificato che coinvolge diversi servizi, come Microsoft Teams, Exchange Online, Azure AD, SharePoint Online e OneDrive for Business. È molto da monitorare, e gli amministratori globali spesso devono supervisionare multiple sub-admins e talvolta migliaia di utenti.

I log di audit di Office 365 aiutano a tracciare l'attività di amministratori e utenti, inclusi i dettagli su chi sta accedendo, visualizzando o spostando documenti specifici e come le risorse vengono utilizzate. Questi log sono essenziali per indagare su incidenti di sicurezza e dimostrare la conformità. Tuttavia, i log nativi presentano molteplici limitazioni, quindi servizi aggiuntivi sono solitamente necessari per monitorare efficacemente l'attività, mantenere i sistemi sicuri e garantire la conformità normativa.

Come configurare il registro di controllo di Office 365

L'audit dei log nativi non è abilitato per impostazione predefinita. Per abilitare l'audit dei log nativi:

1. Recati al Centro sicurezza e conformità di Office 365.
2. Vai su “Cerca” e poi su “Ricerca registro audit.”
3. Fai clic su “Attiva l'auditing.”

In alternativa, puoi abilitare l'auditing dei log utilizzando questo comando PowerShell:

      Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true
      

Anche la registrazione degli audit per Power BI e altre applicazioni ausiliarie non è abilitata per impostazione predefinita; dovrai attivarla nei portali di amministrazione separati per ottenere quei record di audit.

Verificate i requisiti di licenza per vedere per quanto tempo i vostri dati di log possono essere conservati. Ad esempio, attualmente il limite è di 90 giorni per una licenza Office 365 E3 e di un anno per una licenza Office 365 E5.

Come eseguire una ricerca nel registro di controllo

Prerequisiti

Prima di poter eseguire una ricerca nei log di controllo, un amministratore deve assegnare al tuo account i permessi, “View-Only Audit Logs” o “Audit Logs”.

Potrebbe essere necessario attendere diverse ore dal momento in cui si abilita l'audit dei log prima di poter eseguire una ricerca nel registro di audit.

Si noti che una ricerca unificata dei log di controllo consolida le analisi di più servizi Office 365 in un unico rapporto di log, il quale richiede da 30 minuti a 24 ore per essere completato.

Procedura

Per eseguire una ricerca nel registro di controllo, seguire i seguenti passaggi:

1. Accedi.

Accedi su https://protection.office.com.

Suggerimento: Per evitare che le tue credenziali attuali vengano utilizzate automaticamente, apri una sessione di navigazione in incognito:

• In Internet Explorer o Edge, premi CTRL+SHIFT+P.
• Per la maggior parte degli altri browser, premere CTRL+SHIFT+N.

2. Avvia una nuova ricerca.

Nel Security & Compliance Center, fare clic su “Search” nel riquadro di sinistra. Quindi selezionare “Audit log search”.

3. Configura i tuoi criteri di ricerca.

I principali criteri da specificare sono:

• Attività — Consulta l'elenco delle attività sottoposte a revisione di Microsoft. Ci sono più di 100, quindi Microsoft le ha raggruppate in attività correlate. Se non restringi la ricerca, il tuo rapporto di revisione includerà tutte le attività svolte durante l'arco di tempo specificato.
• Date — L'intervallo di tempo predefinito sono gli ultimi sette giorni, ma puoi configurare la tua ricerca per qualsiasi periodo entro gli ultimi 90 giorni.
• Utenti — Specificare quale utente o gruppo di utenti si desidera includere nel proprio rapporto.
• Posizione — Se vuoi limitare la ricerca a un file, cartella o sito specifico, inserisci una posizione o una parola chiave.

Altri criteri di ricerca includono:

• Attività correlate a un sito web — Aggiungi un asterisco dopo l'URL per restituire tutte le voci per quel sito. Ad esempio, “https://contoso-my.sharepoint.com/personal/*”.
• Attività relative a un dato file — Aggiungi un asterisco prima del nome del file per restituire tutte le voci per quel file. Ad esempio, “*Customer_Profitability_Sample.csv”.

4. Filtra i risultati della ricerca.

Le opzioni dei criteri di ricerca sono utili per una panoramica, ma filtrare i risultati della ricerca ti aiuterà a passare in rassegna i dati più efficacemente. Puoi inserire parole chiave, date specifiche, utenti, elementi o altri dettagli.

Inoltre, si noti che la ricerca è limitata ai 5.000 eventi più recenti. Se la tua ricerca restituisce esattamente 5.000 elementi, probabilmente hai raggiunto il limite massimo dei risultati di ricerca. Affina ulteriormente la tua ricerca per assicurarti di vedere tutti i dati pertinenti entro il tuo intervallo di date e orari senza perdere informazioni cruciali.

In alternativa, puoi generare un rapporto di dati grezzi che soddisfa i tuoi criteri di ricerca esportando i dati in formato csv. Questo ti permette di scaricare fino a 50.000 eventi invece di 5.000. Per generare più di 50.000 eventi, lavora in lotti con intervalli di date più piccoli e combina i risultati manualmente.

5. Salva i tuoi Risultati.

Per salvare i tuoi risultati, clicca su “Esporta risultati” e scegli “Salva risultati caricati” per generare un file CSV con i tuoi dati. Puoi utilizzare Microsoft Excel per accedere al file o condividere i risultati come un report.

Vedrete una colonna chiamata “AuditData”, che consiste in un oggetto JSON contenente molteplici proprietà dal record del registro di controllo. Per abilitare l'ordinamento e il filtraggio su tali proprietà, utilizzate lo strumento di trasformazione JSON nell’Editor di Power Query di Excel per dividere la colonna “AuditData” e assegnare a ogni proprietà la propria colonna.

Consulta la sezione Export, configure, and view audit log records per maggiori informazioni.

Limitazioni delle ricerche nei registri di controllo nativi in Office 365

Scavare manualmente nei log di controllo in Office 365 è spesso difficile e richiede tempo. Gli strumenti di ricerca sono utili, ma considera i seguenti svantaggi quando decidi come gestire l'auditing nella tua organizzazione:

• È difficile individuare attività anomale — Ci vuole un occhio esperto per interpretare i dati, specialmente se non si è già a conoscenza di un problema con un utente specifico o un file.
• È difficile mantenere i dati di audit al sicuro — Le informazioni dettagliate su ogni evento all'interno del sistema sono informazioni altamente sensibili. Sebbene le opzioni di esportazione predefinite siano comode, rendono i tuoi file più vulnerabili.
• Assemblare report facilmente leggibili è molto difficile — Per ottenere un report, è necessario esportare dati di audit specifici in un file CSV, che poi deve essere ordinato e interpretato prima che diventi azionabile.
• Hai opzioni di filtraggio limitate — La ricerca nativa dei log di controllo non offre opzioni di filtraggio complete, rendendo più difficile ottenere informazioni e trovare ciò che stai cercando.
• Ci sono solo alcuni report di log predefiniti disponibili — Se desideri altri report, devi crearli manualmente. Inoltre, non c'è l'opzione di sottoscrizione ai report o una funzionalità nativa per salvare le ricerche personalizzate.
• La maggior parte delle proprietà sono raggruppate in un unico JSON — L'AuditData JSON può contenere diverse proprietà a seconda dell'evento di auditing. Questo produce molto rumore di fondo inutile tra te e i dettagli importanti che stai cercando di ottenere dai tuoi dati di audit.
• I dati di audit sono conservati per un periodo limitato — Poiché l'abbonamento standard di Microsoft consente solo un periodo di conservazione dei dati di audit di 90 giorni, dovrai scaricare e salvare regolarmente i tuoi log di audit e poi cercare di unirli per vedere l'attività a lungo termine. Se dimentichi di salvare i log, avrai delle lacune nel tuo registro.

Altri modi per accedere ai dati del registro di audit

Office 365 Management Activity API

L'API di Office 365 Management Activity consente di visualizzare dati relativi a eventi di sistema amministrativo, utente e policy dai log di attività di Office 365 e Azure AD. Lo strumento aiuta a monitorare, analizzare e visualizzare i dati di audit.

Netwrix Auditor

Netwrix Auditor semplifica notevolmente il compito di rimanere aggiornati sull'attività nel vostro ambiente IT, oltre a consentirvi di prevenire proattivamente problemi e mantenere i dati organizzati. La soluzione offre una maggiore visibilità sulle attività e le configurazioni nei vostri ambienti OneDrive for Business, SharePoint Online ed Exchange Online, così come in Azure AD.